L’opinione dell’Autorità Garante norvegese su Google Analytics: verso l’ennesimo (possibile) divieto

L'opinione preliminare dell'Autorità garante norvegese

La decisione preliminare emessa lo scorso 1° marzo 2023 dall'Autorità Garante norvegese (“Datatilsynet” o “Autorità”) rilancia un orientamento ormai condiviso da diverse autorità europee, secondo il quale, l'utilizzo di Google Analytics (“GA”) – strumento di web analytics fornito da Google ai gestori di siti internet che consente di analizzare dettagliate statistiche sugli utenti nell'ottica di ottimizzare i servizi resi e di monitorare le proprie campagne di marketing – dovrebbe essere considerato come non conforme alle disposizioni in materia di trasferimenti di dati verso paesi terzi o organismi internazionali di cui al Capo V del Regolamento (UE) 679/2016 in materia di protezione dati personali (“GDPR”).

Le decisioni delle autorità europee su Google Analytics

Le autorità garanti austriaca, francese, ungherese, danese ed italiana pronunciatesi sul punto avevano  ritenuto che l'utilizzo di GA implicasse il trasferimento dei dati personali dei cittadini europei verso Google LLC, con sede negli Stati Uniti, paese che – allo stato attuale – non garantisce livelli di protezione equivalenti a quelli riconosciuti nello Spazio Economico Europeo (“SEE”).

Tali decisioni prendono le mosse dalla pronuncia della Corte di Giustizia UE 16 luglio 2020, C-311/18 (“Schrems II”) con la quale la Corte aveva disposto l'invalidità della previsione di adeguatezza riconosciuta agli Stati Uniti con il Privacy Shield – accordo UE-USA in materia di protezione dati personali – alla luce di talune deroghe previste dalla normativa interna statunitense. Difatti, le disposizioni dell'Executive Order 12333 e l'art. 702 del Foreign Intelligence Surveillance Act consentirebbero alle autorità pubbliche statunitensi di accedere, senza adeguate limitazioni, ai dati personali oggetto di trasferimento negli Stati Uniti senza riconoscere ai soggetti interessati adeguate garanzie di tutela per tale accesso.

Il contributo di NOYB

Tale pronuncia origina, a sua volta, dai 101 reclami che NOYB – nota associazione austriaca promotrice della tutela dei dati personali dei cittadini europei – avrebbe presentano nei confronti di diverse autorità europee allo scopo di denunciare l'utilizzo di GA da parte di taluni websites. Tra questi, vi sarebbe telenor.com, di proprietà dell'azienda norvegese Telenor attiva nel settore delle telecomunicazioni.

Nel reclamo sottoposto all'attenzione dell'Autorità, gli attivisti di NOYB sostenevano che – in assenza di un quadro giuridico europeo che regoli il trasferimento di dati personali verso gli Stati Uniti – i dati relativi ai cittadini dello SEE potrebbero essere potenzialmente soggetti alla sorveglianza delle autorità pubbliche statunitensi in violazione dei principi generali in materia di trasferimenti previsti dal GDPR.

La cooperazione con le autorità europee

Nell'affrontare la questione, il Datatilsynet ha, inoltre, deciso di trattare il caso di specie come “trasfrontaliero” al fine di poter garantire – grazie al coordinamento con le altre autorità europee – l'interpretazione uniforme delle disposizioni all'interno dello SEE.

In particolare, entro tre settimane dalla presentazione della decisione, le autorità europee hanno la possibilità di presentare delle osservazioni in merito a quanto stabilito da parte del Datatilsynet. L'Autorità deciderà, successivamente, sulla base degli input ricevuti dalle singole autorità. Tuttavia, ove la decisione del Datatilsynet dovesse non essere condivisa da qualche autorità, quest'ultima potrà sollevare eventuali obiezioni nel termine di un mese dalla presentazione della decisione. Conclusosi tale passaggio, l'Autorità potrà, quindi, emettere una decisione finale.

Le raccomandazioni del Datatilsynet

Nell'attesa di ottenere un provvedimento definitivo – che, verosimilmente potrebbe arrivare alla fine del mese di aprile – il Datatilsynet ha ribadito, per le aziende e gli enti norvegesi, la necessità di “esplorare alternative a Google Analytics”. Inoltre, l'Autorità ha concentrato la propria analisi limitatamente allo strumento di GA3, non prendendo alcuna posizione in merito alla nuova versione resa disponibile da Google, i.e. GA4. Sul punto, l'Autorità conclude ammettendo che “ipoteticamente parlando, la nostra decisione possa essere differente con Google Analytics 4. L'autorità di protezione dati norvegese non ha preso una posizione sul caso specifico ma, per quanto possiamo vedere, GA4 non risolverà necessariamente quei problemi che abbiamo fino ad ora identificato. In questo contesto, può essere un utile riferimento la guida dell'Autorità danese per la protezione dei dati personali, che afferma proprio tale concetto".